rechnung von Alexander am Zoo / Lange & Partner oHG
Am Mittwoch, den 04. Mai 2016 wurde durch unbekannte Dritte die folgende E-Mail in deutscher Sprache versendet:
Sehr geehrter Damen und Herren,
anliegend erhalten Sie die Rechnung für die Veranstaltung mit Herrn Dr. Pohl vom 02. – 04.05.2016 in unserem Haus.
Bitte überweisen Sie den Rechnungsbetrag in Höhe von EUR 410,78 unter Angabe der Rechnungsnummer auf unser Konto bei der Commerzbank.
Bei Fragen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen, Kurt Huber
Alexander am Zoo
Lange & Partner oHG / HRA
Tel. + 49 78 919467
Fax: + 49 79 632421
email: [email protected]
http:// www.alexanderamzoo.de
Der Name neben der Grußformel ist in den E-Mails unterschiedlich. Ebenso ändern sich die Telefon- und Telefax-Nummer. Auch der Betreff ist unterschiedlich, da neben dem Begriff „rechnung“ noch der Domainname des Empfängers darin enthalten ist.
Der E-Mail ist eine Anlage mit dem Dateinamen „rechn_comerz(052016)_726.rtf“ beigefügt, wobei sich die Zahl vor der Dateiendung ebenfalls unterscheidet. Angeblich (laut Dateiendung) handelt es sich um ein Dokument im RTF-Format (Rich-Text-Format), in Wirklichkeit ist es aber eine .zip – Datei. Das RTF-Dokument ist nicht ausführbar, nach der Umbenennung würde sich das ZIP-Archiv aber entpacken lassen und ein JavaScript zum Vorschein bringen. Der Dateiname des JavaScript lautet z. B. 2016INV-APR043212.pdf
Virustotal zeigt für die .rtf / die in .zip umbenannte Datei eine Erkennungsrate von 29/56 und für das JavaScript eine Erkennungsrate von 25/55.
Bekam am 4. Mai dieselbe Mail – nur mit einem anderen Betrag ! Hab die anhängende Datei jedoch nicht geöffnet da ich an keiner Veranstaltung teil genommen habe.